Elaboração de um estudo de caso

A melhor forma de se iniciar o programa de implementação é pela criação de um estudo de caso, cuja iniciativa deve ser atribuída a um responsável, mas contar com a participação de todas as partes interessadas.

Isso pode ser feito em um alto nível do ponto de vista estratégico, considerando uma visão top-down (de cima para baixo). O estudo de caso poderá se iniciar com uma clara compreensão dos resultados organizacionais desejados e progredir até uma descrição detalhada de tarefas, metas e objetivos críticos, incluindo as funções e as responsabilidades envolvidas dentro da estrutura organizacional.

De acordo com a ISACA (2012, p. 40), o estudo de caso deve incluir:

• os benefícios almejados pela organização, seu alinhamento com a estratégia de negócios e os respectivos responsáveis, considerando os pontos fracos e os eventos desencadeadores que possam gerar risco;
• as mudanças nos negócios necessárias para criar o valor esperado, podendo considerar as verificações de integridade e as análises de falhas na capacidade e devendo indicar claramente o que está incluído no escopo e o que não está;
• os investimentos que são necessários para criar as mudanças na governança e na gestão de TI da organização;
• os custos fixos do negócio e de TI envolvidos em cada iniciativa;
• os benefícios esperados da operação após a mudança;
• os riscos inerentes a cada item elencado, considerando quaisquer restrições ou dependências;
• as funções, as competências e as responsabilidades relacionadas à iniciativa;
• a forma como o investimento e a criação de valor serão monitorados durante todo o ciclo de vida econômico e como os indicadores serão usados.

O estudo de caso não deve ser considerado um documento estático definitivo, mas uma ferramenta operacional dinâmica que deve ser continuamente atualizada para refletir a atual visão do futuro para que a viabilidade do programa possa ser mantida.

Haverá uma dificuldade evidente em quantificar os benefícios da implementação, por isso, cuidados devem ser tomados para que haja comprometimento apenas com benefícios realistas e atingíveis.

Ciclo de vida para a implementação do COBIT

O ciclo de vida da implementação apresenta uma forma de as organizações usarem o COBIT para tratar a complexidade e os desafios geralmente encontrados durante o processo. Esse ciclo é ilustrado no gráfico.

Ciclo de vida da implementação do COBIT 5
Fonte: ISACA (2012, p. 39).

Podemos destacar nesse gráfico três importantes componentes inter-relacionados:

[1] Ciclo de vida principal de melhoria contínua: refere-se ao anel interno, que é um processo crítico e mandatório.

[2] Capacitação da mudança: refere-se ao anel intermediário, envolvendo uma abordagem relativa aos aspectos comportamentais e culturais.

[3] Gestão do programa: refere-se ao anel externo, permeando todas as fases.

Para que a implementação seja bem-sucedida, é essencial que um ambiente adequado seja criado na organização. Além disso, deve existir um fluxo para atender o processo de melhoria contínua, formado por sete fases. Estas podem ser identificadas no gráfico e são assim definidas, de acordo com a ISACA (2012, pp. 39-40):

[1] Primeira fase: inicia-se com a identificação e a aceitação da necessidade da implementação da governança. Identifica as fragilidades atuais que atuam como catalisadores, criando um sentimento, na alta direção, de que é o momento certo para a mudança.

[2] Segunda fase: concentra-se na definição do escopo da implementação usando o mapeamento dos objetivos corporativos do COBIT em objetivos de TI e nos respectivos processos. Define-se um diagnóstico de alto nível com base em riscos para se identificar as áreas com alta prioridade.

[3] Terceira fase: devem ser definidos um processo e uma meta de referência para melhoria, seguindo uma análise mais detalhada, a fim de identificar falhas e possíveis soluções. Algumas soluções podem apresentar resultados rápidos, enquanto outras poderão exigir atividades mais desafiadoras em um prazo maior. Devem-se priorizar as iniciativas mais fáceis de alcançar e que provavelmente produzirão os melhores benefícios.

Fases de implementação
Fonte: Rawpixel.com/shutterstock

[4] Quarta fase: planejam-se ações práticas pela definição de programas e projetos apoiados por estudos de casos justificáveis e tangíveis, alinhadas a um plano de mudança para a implementação, que também deve ser desenvolvido nessa fase.

[5] Quinta fase: os planos de soluções propostos deverão ser implementados de maneira prática e gerenciável. As métricas e os indicadores podem ser definidos, e o monitoramento deve ser estabelecido com o uso das metas e indicadores do COBIT, para garantir que o alinhamento da organização seja atingido e mantido e, também, que o desempenho possa ser medido.

[6] Sexta fase: concentra-se na operação contínua e equilibrada dos habilitadores novos, no aperfeiçoamento e na melhoria dos existentes e no monitoramento do atingimento dos benefícios esperados.

[7] Sétima fase: o sucesso de todas as etapas é analisado, novos requisitos para a governança ou gestão de TI são identificados, e a necessidade de melhoria contínua é reforçada.

Com o tempo, o ciclo de vida é seguido de forma interativa paralelamente à criação de uma abordagem sustentável para a governança e a gestão de TI da organização.

Para garantir o sucesso desse fluxo de implementação, é necessário agir de forma amplamente alinhada e comunicada a toda a organização. Isso pode ser feito apresentando os pontos fracos que estejam gerando impactos ou mostrando a oportunidade de melhoria a ser alcançada com a definição de metas e objetivos. O nível adequado de urgência e importância deve ser exposto, e as prioridades devem ser indicadas e inseridas no contexto gerencial. As principais partes interessadas devem estar cientes dos riscos das tomadas de decisão e dos benefícios da realização do programa, devendo haver equilíbrio no apetite de riscos.

Fatores críticos para a implementação do COBIT

Antes de descrevermos o modelo de implementação, devemos ter uma visão clara e, principalmente, estratégica do cenário organizacional. Devemos ter clareza de como a empresa está, como é a sua cultura, seus processos e seu apetite por riscos e se os controles estão dentro do contexto do modelo de gestão e governança.

A governança e a gestão corporativa de TI não ocorrem de forma isolada. Muitas empresas não possuem níveis adequados de gestão e alinhamento das funções de TI com as necessidades de negócio e atuam em um ambiente sem perspectiva holística.

De acordo com a ISACA (2012, p. 37), cada organização deve elaborar seu próprio plano ou roteiro de implantação, considerando fatores específicos do seu ambiente interno e do ambiente externo, como:

• como é o ambiente cultural e ético;
• quais leis, regulamentos e políticas estão dentro do contexto e são aplicáveis;
• qual a sua missão, visão e valores;
• quais políticas e práticas de governança são aderentes;
• quais são o plano de negócios e as intenções estratégicas;
• quais são seu modelo operacional e seu nível de maturidade;
• quais são seus estilos de gestão;
• qual seu apetite ao risco (risk appetite);
• quais são suas capacidades e recursos disponíveis;
• quais práticas da indústria são utilizadas e aplicáveis.

É importante que esteja clara a importância de haver uma abordagem de governança e gestão corporativa de TI, que se trata de um diferencial competitivo.

Fatores de implementação
Fonte: 3dmask/shutterstock

Os principais fatores para uma implementação bem-sucedida, na visão da ISACA (2012), são:

• Deve haver patrocínio e fornecimento, pela alta administração, da orientação e da ordem para a iniciativa, bem como compromisso e apoio visíveis e contínuos.
• Todas as partes devem apoiar os processos de governança e gestão a fim de que haja entendimento dos objetivos de TI e da organização.
• Deve haver garantia de comunicação efetiva e capacitação das mudanças necessárias.
• Deve ocorrer a monitoração da adaptação do COBIT e dos demais padrões e boas práticas de apoio, a fim de atender ao contexto único da organização.
• Deve haver foco em resultados rápidos e priorização das melhorias mais benéficas e que sejam mais fáceis de implementar.

É importante que a implementação dos processos utilizando o COBIT seja devidamente governada e adequadamente gerenciada. Para isso, deve haver uma estrutura organizacional bem estabelecida, com times devidamente treinados e alinhados ao contexto da estratégia e dos objetivos de negócio.

Sabemos que importantes iniciativas de TI podem ser levadas ao fracasso em função da falta de orientação, de suporte e de controle das pessoas e órgãos envolvidos. Implantar o COBIT é um tipo clássico de iniciativa que pode cair na mesma armadilha e falhar.

Apoio e orientação das principais partes interessadas são críticos para que as melhorias sejam adotadas e mantidas. Em um ambiente corporativo fraco (como um modelo operacional geral de negócios pouco claro ou falta de habilitadores de governança em nível corporativo) este apoio e participação são ainda mais importantes.
Fonte: ISACA (2012, p. 38).

Os habilitadores utilizados pelo COBIT devem fornecer uma solução que trate das necessidades e dos problemas reais da organização. Os requisitos baseados nos pontos fracos e nas tendências atuais devem ser identificados e aceitos pela administração como áreas a ser tratadas: alinhamento é a palavra chave.

É importante que a organização utilize instrumentos que levem à realização de verificações de integridade, levantamento de diagnósticos ou análises de capacidade para aumentar a sensibilização quanto à importância da adoção da governança, criando consenso e gerando um comprometimento entre as partes interessadas.

O compromisso e a adesão das partes envolvidas devem ser solicitados desde o início, bem como a definição das metas e dos objetivos de negócio. Para alcançar isso, os objetivos e os benefícios da implementação devem ser expressos usando linguagem e termos claros de negócio e resumidos em uma visão de objetivos de negócio.

Recursos adequados deverão ser fornecidos para apoiar o programa, e as funções e as responsabilidades deverão ser definidas e atribuídas, transformando o envolvimento das partes interessadas em um grande time estratégico. O comprometimento de todos os envolvidos, ao longo de todo o período de implantação do COBIT, é fator crítico de sucesso, e suas funções e responsabilidades devem ser monitoradas e geridas de forma transparente e clara dentro da organização.

As estruturas e os processos apropriados para supervisão e orientação deverão ser criados e mantidos de modo a garantir um alinhamento contínuo e frequente das abordagens de governança e gestão de risco em toda a organização.

Apoio e compromisso claro devem ser oferecidos pelas principais partes interessadas, incorporando a alta direção e os executivos, para definir uma alta sintonia e sinergia, de forma a garantir o compromisso com o programa em altos níveis de gestão e governança.

Outro fator crítico de sucesso é a implantação da mudança de forma adequada, considerando os habilitadores de governança ou gestão apropriados. Mas não se pode deixar de lado a gestão dos aspectos humanos, comportamentais e culturais da mudança, bem como a motivação das partes interessadas para aceitá-la. Esse é um aspecto de criação de divergências e pode gerar riscos para a implementação. Existe a possibilidade real de pessoas ignorarem ou mesmo resistirem às mudanças.

Por isso, deve haver um plano de comunicação eficiente que defina o que será comunicado, de que forma, para quem, ao longo das várias fases do programa. De preferência, isso deve ser feito de cima para baixo, por exemplo, da alta direção para os níveis hierárquicos mais baixos.

As barreiras humanas, comportamentais e culturais devem ser superadas de modo a promover um interesse comum em adotar corretamente a mudança, infundir a vontade e garantir a capacidade de fazer isso.

Guia de implementação do COBIT

Agora que evoluímos em alguns conceitos importantes dentro da visão do COBIT como os cinco princípios, os 37 processos, os sete habilitadores, o alinhamento com as partes interessadas e a TI, estamos prontos para trabalhar com uma visão de implementação e aplicabilidade do modelo.

O COBIT como um guia de implementação de boas práticas

COBIT, guia de implementação
Fonte

Pelo que vimos até aqui, podemos entender que o COBIT é um modelo que reúne processos de governança, gestão e alinhamento estratégico.

O COBIT contempla uma visão de processos apoiados por requisitos de negócios para a governança, interligado com os objetivos e as funções de serviços de TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as suportam sejam apropriadamente gerenciados e controlados com base nos objetivos de controles.

O valor que pode ser gerado com a aplicação do COBIT depende do nível de profundidade da implantação e da adaptação do modelo dentro do ambiente de cada organização. Nesta, necessariamente, haverá desafios específicos e peculiares, incluindo a gestão de mudanças de cultura e comportamento.

O COBIT 5 tem uma arquitetura orientada a processos e uma visão prática e de ampla aplicabilidade que se baseia em um ciclo de vida de melhoria contínua. O modelo segue tendências de mercado amplamente aceitas, como ITIL, CMMi, 6 Sigma etc. Embora o COBIT não pretenda ser uma abordagem prescritiva, nem uma solução completa que atenda a todas as necessidades de gestão e governança, pode ser visto como um guia. Ele ajuda a evitar as armadilhas usualmente encontradas, pois aplica boas práticas de mercado e apoia a organização a atingir resultados positivos, com uma abordagem de medições tangíveis.

Além disso, o guia de implementação é apoiado por um conjunto de ferramentas de implementação que contém uma variedade de recursos que são continuamente aperfeiçoados. Frequentemente, as entidades detentoras dos direitos do COBIT publicam novas abordagens, novas ferramentas e práticas complementares atendendo a mercados, setores e processos específicos.

Dentre as ferramentas que o COBIT disponibiliza, destacamos:

• ferramentas de autoavaliação, medição e diagnóstico de processos;
• apresentações destinadas a diversos públicos e segmentos de mercado;
• artigos relacionados e explicações adicionais.

Tabela RACI

O COBIT 5 também mantém a visão de papéis e responsabilidades da tabela RACI para cada processo. RACI identifica quem é responsável (R), autoridade (A), consultado (C) e informado (I), com as seguintes funções:

• R: responsável por executar uma atividade (o executor).
• A: autoridade, quem deve responder pela atividade, o dono (cada atividade deve ter apenas uma autoridade/aprovador ).
• C: consultado, quem deve ser consultado, participando da decisão ou da atividade no momento em que for executada.
• I: informado, quem deve receber a informação de que uma atividade foi executada.

A tabela descreve o papel a responsabilidade de cada membro da equipe dentro de um processo. Isso ajuda a que o nível de controle seja mais efetivo e direcionado aos donos dos processos.

Tabela RACI do COBIT

Fonte: ITGI (2007, p. 33).

 

Domínios de processos: COBIT 4.1 versus COBIT 5

De acordo com o ITGI (2007, p. 16), no COBIT 4.1, há quatro domínios de processos (que podem ser vistos no gráfico):

[1] Planejar e Organizar (PO): provê direção para entrega de soluções (AI) e entrega de serviços (DS).

[2] Adquirir e Implementar (AI): provê as soluções e transfere-as para tornarem-se serviços

[3] Entregar e Suportar (DS): recebe as soluções e torna-as passíveis de uso pelos usuários finais

[4] Monitorar e Avaliar (ME): monitora todos os processos para garantir que a direção definida seja seguida.

Domínios do COBIT 4.1
Fonte: ITGI (2007, p. 16).

Independentemente da versão do COBIT, cada domínio contém diversos processos. Dentro dos quatro domínios, o COBIT 4.1 identificou 34 processos de TI.

O modelo de referência de processo do COBIT 5 é o sucessor do modelo de processo do COBIT 4.1 e conta, ainda, com a integração dos modelos de processo do Risk IT e Val IT. No COBIT 5, os processos são apenas um dos sete habilitadores de governança e gestão. De acordo com a ISACA (2012, p.53), são 37 processos na versão 5.

O quadro apresenta a comparação entre domínios e processos das duas versões.

Comparação entre domínios e processos do COBIT 4.1 e do COBIT 5

COBIT 4.1	COBIT 5
Governança
Plan and Organize (Planejar e Organizar) 10 processos	Align, Plan and Organize (Alinhar, Planejar e Organizar) 13 processos
Acquire and Implement (Adquirir e Implementar) 7 processos	Build, Acquire and Implement (Construir, Adquirir e Implementar) 10 processos
Deliver and Support (Entregar e Suportar) 13 processos	Deliver, Service and Support (Entregar, Servir e Suportar) 6 processos
Monitor and Evaluate (Monitorar e Avaliar) 4 processos	Monitor, Evaluate and Assess (Monitorar, Avaliar e Analisar) 3 processos
Gestão
	EDM - Evaluate, Direct, and Monitor (Avaliar, Dirigir e Monitorar) 5 processos

Fonte: ISACA (2012, p. 91).